Formats de signatura

El format de signatura és la forma com es genera el document de signatura i com es guarda o estructura la informació de signatura en el document generat.

La existència de múltiples formats de signatura es deu a raons històriques, a com s'ha anat introduint la signatura en formats de documents ja existents i a com s'han anat afegint funcionalitats al llarg del temps.

Un fitxer de signatura té un format que ve determinat per aquests aspectes:

• Estructura del fitxer: formats CAdES, XAdES, PAdES, OOXML, ODF…
• On es guarda el document original?
• Firmas amb múltiples usuaris.
• Longevitat de la signatura i segell de temps

Una signatura electrònica és un fitxer que conté informació sobre el document original, el signant, la data de la signatura, algorismes utilitzats i possible caducitat de la signatura.

Cómo s'estructura aquesta informació (l'ordre d'aquesta informació dins del fitxer, les etiquetes que indiquen quan comença un camp i quan acaba, l'opcionalidad d'aquests camps, etc.) ve determinat per diferents formats:

Es l'evolució del primer format de signatura estandarditzat. És apropiat per a signar fitxers grans, especialment si la signatura conté el document original perquè optimitza l'espai de la informació. Després de signar, no podràs veure la informació signada, perquè la informació es guarda de manera binària.

El resultat és un fitxer de text XML, un format de text molt similar a l'HTML que utilitza etiquetes. Els documents obtinguts solen ser més grans que en el cas de CAdES, per això no és adequat quan el fitxer original és molt gran. Aplicaciones com eCoFirma del Ministeri d'Indústria i Comerç, només signen en XAdES.

Aquest és el format més adequat quan el document original és un pdf. El destinatari de la signatura pot comprovar fàcilment la signatura i el document signat. Amb els formats anteriors això no és possible si no s'utilitzen eines externes.

Son els formats de signatura que utilitzen Microsoft Office i Open Office, respectivament.

• CAdES (CMS Avançat)
• XAdES (XML Avançat)
• PAdES (PDF Avançat)
• OOXML i ODF

La aplicació AutoFirma permet configurar el format a utilitzar.

Segons com es referenciï o on es guardi el document original en el fitxer de signatura, podem tenir dos casos:

El document original s'inclou en el fitxer de signatura.

En el cas de CAdES aquestes signatures es diuen signatures implícites.

En el cas de signatures XAdES XML, l'habitual és que el document estigui inclòs en el fitxer de signatura. Parlem de signatures enlairades (detached), envolupants (enveloping) i embolicades (enveloped) segons en quin lloc del propi fitxer de signatura es guardi el document original.

En la pràctica, se sol utilitzar el cas 1, que és la manera de funcionar per defecte de les aplicacions de signatura. S'obtenen fitxers de signatura més grans però, com a contrapartida, no requereix emmagatzemar el fitxer original com un altre document a part al costat del de signatura.

El document no s'inclou en la signatura.

En aquest cas, el document no s'inclou en el resultat de signatura o solament s'inclou una referència al lloc en el qual es troba perquè el document pugui ser localitzat.Per tant, s'obtenen fitxers de grandària més reduïda, però, per contra, el document original sempre cal guardar-lo al costat de la signatura.

En el cas de CAdES aquestes signatures es diuen signatures explícites.

En el cas de signatures XAdES XML, només per a les signatures enlairades (detached), el document pot estar fos.

En el món del paper i de la signatura manuscrita, un document pot contenir la signatura de diverses persones:

• En un cas, les signatures poden tenir el mateix pes o valor legal, per la qual cosa és igual l'ordre en el qual s'estampin les signatures en el document.
• Otro cas, és el que unes signatures serveixen per a confirmar o certificar altres signatures anteriors, per la qual cosa l'ordre en el qual s'estampen les signatures és important.

El equivalent a aquestes signatures en el món electrònic són les signatures múltiples. Atès del criteri del nombre de signants podem tenir:

• Firmas simples. Son les signatures bàsiques que contenen la signatura d'un sol signant.
• Co-signatura o signatura en línia. És la signatura múltiple en la qual tots els signants estan al mateix nivell i en la qual no importa l'ordre en el qual se signa. La co-signatura s'utilitza en la signatura de documents que són resultats de reunions, conferències o comitès.
• Contra-signatura o signatura en cascada. Signatura múltiple en la qual l'ordre en el qual se signa és important, ja que cada signatura ha de confirmar o certificar la signatura del signant anterior. La contra-signatura s'utilitza especialment en aplicacions com els Porta Signatures, en els quals un document ha de seguir una línia específica a través de diversos signants fins que tot el procés és aprovat.

La aplicació de signatura AutoFirma permet els tres tipus de signatura. El usuari pot configurar el tipus de signatura múltiple que desitja realitzar.

L'aplicació FirmaFácil automàticament selecciona la co-signatura quan se li presenta per a signar un document signat prèviament.

Per a verificar una signatura és necessari:

• Comprobar la integritat de les dades signades assegurant que aquests no hagin sofert cap modificació.
• Comprobar que l'estat del certificat amb el qual es va signar era el correcte, és a dir, era vigent en el moment de l'operació.

En el cas de la signatura electrònica bàsica, si el certificat està caducat automàticament es dóna la signatura com no vàlida.

Entonces, com sabem que el certificat estava vigent o no en la data en la qual es va signar? I què ha de fer-se perquè quan es vulgui validar o verificar una signatura en el futur la validació sigui possible encara que estigui caducat el certificat?

Per a donar resposta a aquestes preguntes, els formats AdES (forma genèrica de cridar als formats CAdES, XAdES i PAdES) contemplen la possibilitat d'incorporar a les signatures electròniques informació addicional que garanteix la validesa d'una signatura a llarg termini, una vegada vençut el període de validesa del certificat.

Estos formats afegeixen a la signatura evidencies de tercers (d'autoritats de certificació) i certificacions de temps,que realment certifiquen quin era l'estat del certificat en el moment de la signatura.

Concretamente, existeixen diferents formats de signatura que van incrementant la qualitat de la mateixa fins a aconseguir una signatura que pugui ser verificada a llarg termini (de manera indefinida) amb plenes garanties jurídiques:

• Signatura Bàsica (AdES - BES), és el format bàsic per a satisfer els requisits de la signatura electrònica avançada.
• AdES T, s'afegeix un segellament de temps (T de TimeStamp) amb la finalitat de situar en el temps l'instant en què se signa un document.
• AdES C, afegeix un conjunt de referències als certificats de la cadena de certificació i el seu estat, com a base per a una verificació longeva (C de Cadena).
• AdES X, afegeix segells de temps a les referències creades en el pas anterior (X d'estesa).
• AdES XL, afegeix els certificats i la informació de revocació d'aquests, per a la seva validació a llarg termini (XL d'estès Largo termini).
• AdES A, permet l'addició de segells de temps periòdics per a garantir la integritat de la signatura arxivada o guardada per a futures verificacions (A d'Arxiu).

La normativa de desenvolupament del Reglament (UE) núm. 910/2014 (eIDAS) inclou la definició dels nous tipus de signatura Baseline. Aquests tipus són equivalents als formats tradicionals sempre que les signatures incloguin una sèrie de requisits determinats.

El nou format representa un perfil més genèric i s'utilitza per a garantir la interoperabilitat transfronterera de les signatures electròniques en el context de la Directiva 2006/123/CE del Parlament Europeu i del Consell del 12 de desembre de 2006 relatiu als serveis en el mercat interior. El canvi normatiu ve confirmat en el Reglament (UE) núm. 910/2014, i més concretament en la Decisión de Ejecución (UE) 2015/1506 de la Comissió de 8 de setembre de 2015 per la qual s'estableixen les especificacions relatives als formats de les signatures electròniques avançades i els segells avançats que han de reconèixer els organismes del sector públic. En aquesta Decisió d'Execució s'indica en els articles 1 i 3 respectivament:

• (1) Els Estats membres que requereixin una signatura electrònica avançada o una signatura electrònica avançada basada en un certificat qualificat com es preveu en l'article 27, apartats 1 i 2, del Reglament (UE) no 910/2014, reconeixeran la signatura electrònica avançada XML, CMS o PDF en el nivell de conformitat B, T o LT o amb un contenidor amb signatura associada on les signatures compleixin les especificacions tècniques que figuren en l'annex.
• (3) Els Estats membres que requereixin un segell electrònic avançat o un segell electrònic avançat basat en un certificat qualificat com es preveu en l'article 37, apartats 1 i 2, del Reglament (UE) no 910/2014 reconeixeran el segell electrònic avançat XML, CMS o PDF en el nivell de conformitat B, T o LT o amb un contenidor amb segell associat que compleixi les especificacions tècniques que figuren en l'annex.

I en l'annex del qual s'inclou la llista d'especificacions tècniques per a les signatures electròniques avançades XML, CMS o PDF i el contenidor amb signatura/segello associada/o:

• Perfil de base XAdES (ETSI TS 103171 v2.1.1).
• Perfil de base CAdES (ETSI TS 103173 v2.2.1).
• Perfil de base PAdES (ETSI TS 103172 v2.2.2).
• Perfil de base del contenidor (ETSI TS 103174 v2.2.1).

A manera informativa, s'estableixen les següents equivalències entre els formats tradicionals i els nous formats 'Baseline':

Los perfiles Baseline son en muchos casos un subconjunto de los formatos tradicionales.

Como s'ha vist en l'apartat anterior, el segellament de temps és un mètode per a provar que un conjunt de dades va existir abans d'un moment donat i que cap d'aquestes dades ha estat modificat des de llavors.

El Sello de Tiempo és una signatura d'una Autoritat de Segellament de Temps (TSA), que actua com a tercera part de confiança atestant l'existència d'aquestes dades electròniques en una data i hora concrets.

El segellament de temps proporciona un valor afegit a la utilització de signatura digital, ja que la signatura per si sola no proporciona cap informació sobre el moment de creació de la signatura, i en el cas que el signant la inclogués, aquesta hauria estat proporcionada per una de les parts, quan el recomanable és que la marca de temps sigui proporcionada per una tercera part de confiança.

Resellado

Com que el Segell de Temps és una signatura realitzada amb el certificat electrònic de l'Autoritat de Segellament, quan aquest certificat caduca, el segell i, per tant, la signatura deixen de ser vàlides.

Per això, abans que el certificat de la TSA caduqui és necessari resellar o aplicar de nou el Segell Temporal per a mantenir la validesa temporal de la signatura.